Точный
Статус документа
Статус документа

ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

     5.2 Угрозы безопасности информации при выполнении проектирования архитектуры программы

5.2.1 Угроза появления уязвимостей программы вследствие ошибок, допущенных при создании проекта архитектуры программы

Данная угроза заключается в преднамеренном или непреднамеренном создании проекта архитектуры программы (логическая структура программы, в которой идентифицированы компоненты, их интерфейсы и концепция взаимодействия между ними), содержащего ошибки (недостатки), которые при условии их необнаружения или неисправления могут стать причиной появления уязвимостей программы. Реализация угрозы может быть связана:

- с преднамеренными действиями нарушителя;

- с принятием разработчиком ПО осознанного решения о неисправлении обнаруженных в проекте архитектуры программы ошибок в силу различных причин, например для сокращения времени разработки программы;

- с неверной интерпретацией требований по безопасности, предъявляемых к создаваемому ПО, при создании проекта архитектуры программы, неучетом при создании проекта архитектуры программы типовых сценариев компьютерных атак и угроз безопасности информации, неисправлением обнаруженных в проекте архитектуры программы ошибок вследствие случайных неверных или неквалифицированных действий.

Уязвимости программы, появившиеся из-за ошибок в проекте архитектуры программы, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на формирование проекта архитектуры программы, в том числе на моделирование угроз безопасности информации, которые могут возникнуть вследствие применения ПО, или внесения изменений в любые объекты среды разработки ПО, в том числе в элементы конфигурации, создаваемые или используемые при проектировании архитектуры программы. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к объектам среды разработки ПО.